Почему Windows Server 2012 R2 распознает локального администратора по сети для некоторых целей, но не для других?
Я исследовал это подробно, но не могу найти решение конкретной проблемы, которую я получаю. Очевидно, существует ряд подобных проблем, которые регулярно вызывают проблемы у людей, пытающихся подключиться или выполнить удаленные команды к серверу Windows, но ни одно из решений, которые я нашел, не помогло в этом случае.
Сценарий (без домена):
- У пользователя А есть учетная запись рабочей группы на рабочей станции А (Win7 Ultimate).
- У пользователя А есть учетная запись рабочей группы на сервере А (2012 R2).
- Пользователь A находится в группе администраторов на обеих машинах.
При такой настройке UserA может удаленно подключаться к серверу и выполнять административные задачи.
Но если пользователь A пытается завершить работу ServerA из командной строки WorkstationA, даже из командной строки администратора, доступ запрещается:
shutdown /m \\ServerA /t 0 /s
ServerA: Access is denied.(5)
Точно так же прямой доступ запрещен к файловой системе сервера с помощью проводника Windows, который вызывает диалог имени пользователя / пароля.
И вот в чем дело:
- Все это раньше работало на Server 2008 и 2008R2
- Если пользователь A входит в систему WorkstationA как пользователь с именем "Администратор" (вместо учетной записи UserA, которая находится в группе "Администраторы" на обеих машинах), все это работает.
4 ответа
Я нашел причину, и это не кто иной, как наш дорогой друг UAC.
Я наткнулся на это экспериментально, вспомнив, что (в зависимости от настроек) UAC будет запрашивать повышение прав у членов группы "Администраторы", в то время как встроенный администратор получает автоматическое повышение без запроса. Это заставило меня задуматься, не была ли это проблема с запросом удаленного пользователя.
Я обнаружил, что с отключенным UAC все стало работать как положено.
К сожалению, нет никаких настроек, позволяющих этим вещам работать с включенным UAC. Я перепробовал все параметры политики, связанные с UAC (например, "поднять администраторов без запроса") на случай, если они могут решить мою проблему как побочный эффект, но не нашел там радости.
Я только что загрузил сервер 2008R2, чтобы перепроверить то, что я сказал в вопросе о более ранних версиях, и это действительно тот случай, когда с включенным UAC он разрешает доступ к данному вопросу от того же пользователя A на WorkstationA.
Таким образом, похоже, что это поведение изменилось в 2012 году или в результате обновления.
Так что у меня есть ответ, но пока нет решения. Я не собираюсь отмечать этот ответ как принятый.
Вам нужно проверить, в какие группы входит администратор пользователя. У меня была эта проблема с нашими серверами, и хотя во время игры с ней не было домена, именно группа администраторов домена была причиной проблемы... Мне пришлось добавить пользователя в группу администраторов домена, прежде чем я смог использовать удаленные команды.
Так что просто проверьте группы безопасности:) Я думаю, что ваша проблема есть где-то:D
надеюсь, это поможет
Чтобы отключить удаленные ограничения UAC, выполните следующие действия. Нажмите "Пуск", выберите "Выполнить", введите regedit и нажмите клавишу ВВОД. Найдите и щелкните следующий раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System Если запись реестра LocalAccountTokenFilterPolicy не существует, выполните следующие действия. В меню "Правка" выберите пункт "Новый" и нажмите "Значение DWORD". Введите LocalAccountTokenFilterPolicy и нажмите клавишу ВВОД. Щелкните правой кнопкой мыши LocalAccountTokenFilterPolicy и выберите команду Изменить. В поле "Значение" введите 1 и нажмите кнопку "ОК". Выход из редактора реестра.
Попробуйте включить встроенную учетную запись администратора (и перезагрузитесь, чтобы применить изменения):
net user administrator /active:yes
Вы можете прочитать больше об этом здесь.